Полагаю, вам из разных утюгов уже поорали, что вы обязаны брать согласие на обработку персональных данных (ПДн). Что ж, правильно орут, ибо и правда надо, но не всегда.
Что такое вообще это согласие?
В общих чертах это разрешение обрабатывать (запись, сбор, хранение, использование и т.д.) личную информацию человека.
Например, вы хотите делать рассылку по базе и для этого у вас на сайте организована форма. Очень в общих чертах (!) у вас получается это:
форма — это сбор
email или телефон — персональные данные человека
попадание ПДн в систему — запись и хранение
email-рассылка —- использование
Причем согласие берется в определенных целях. То есть в случае рассылки вы берете согласие на обработку ПДн в целях рассылки. А если у вас предполагается рекламная рассылка, то отдельно от согласия на обрабокту ПДн нужно еще взять согласие на рекламу. Два согласия отдельных.
Когда согласие нужно?
Обработка ПДн людей может быть в разных целях — договор, рассылка, исследования, кадровый учет и т.д. И есть некоторые цели обработки, при которых согласие получать не нужно.
Например:
👉 В целях заключения или исполнения договора с вашими клиентами.
Например, вы продаете эфир и вам нужен email, чтобы отправить доступ к эфиру и запись.
👉 В целях исполнения ваших законных обязанностей.
Например, у вас есть сотрудник и вы должны передавать данные о нем в СФР.
👉 В целях обеспечения публичных интересов или государственной функции.
Например, в суде не спрашивают согласия, чтобы опубликовать на сайте данные о движении дела.Но суд спросит согласие на отправку вам смс.
👉 В целях обеспечения жизненно важных интересов граждан.
👉 Если у оператора есть законный интерес на обработку.
Например, передача данных сотрудника компании на аутсорсе для кадрового администрирования.
Причем надо учитывать, что нельзя собирать ненужные ПДн в рамках какой-то цели. Если, допустим, вы обрабатываете ПДн в рамках договора на онлайн-консультацию, то вам не нужен домашний адрес клиента. Если только вы не отправляете потом клиентам цветы))
Короче. Объем ПДн должен быть обоснован целью.
Каким согласие должно быть?
✔️ Свободным — без принуждения или хитрого обмана человека.
✔️ Информированным — человек должен знать подробности.
✔️ Сознательным — человек должен понимать, с чем он соглашается.
✔️ Однозначным — без двусмысленных и расплывчатых формулировок.
✔️ Конкретным — для конкретных целей.
Что это означает на практике?
Если вы собираете ПДн на сайте, то:
1️⃣ Используйте чекбоксы с проставлением галочки.
На сегодня этот вариант больше всего подтверждает практикой.
2️⃣ Галочка не должна быть предпроставлена.
3️⃣ В чекбоксе должна быть ссылка на актуальную Политику и на текст согласия.
4️⃣ В тексте согласия должны быть расписаны цели, способы обработки, сроки обработки, форматы отзыва. А также указаны третьи лица, которые по вашему поручению будут обрабатывать ПДн. Например, email-рассыльщик.
Штрафы за отсутствие согласия по ч. 2 ст. 13.11 КоАП:
— физлица и самозанятые от 10 000 до 15 000
— ИП от 100 000 до 300 000
— юрлица от 300 000 до 700 000
Резюме
В отсутствие целей, освобождающих от согласия, взятие согласия должно быть так или иначе реализовано.
P.S. Если понимаете, что вопрос проверки работы с ПДн, аудит сайта и проверка политики вам уже актуальны, можете маякнуть мне в личку. Я с моими чудными юристами делаем аудиты с любовью и вниманием. Проверим, актуализируем, дадим рекомендации.
Если я для вас готовила политику и согласие для сайта или вы брали шаблоны, скажу так. Если прошло больше полугода, пришло время проверять.
